目录
前言
俗话说“渗透的本质也就是信息收集”,信息收集的深度,直接关系到渗透测试的成败,打好信息收集这一基础可以让测试者选择合适和准确的渗透测试攻击方式,缩短渗透测试的时间。
一、信息收集的内容
1.whois查询
2收集子域名
3谷歌hacking
4.收集端口
5.c段,旁站
1.C段:
2.旁站:
3. 旁站与c段收集方式
4.利用方式
6.指纹识别(CMS)
1.什么是指纹(CMS)
2.指纹识别的方式
7.网站备案信息查询
8.目录扫描
1.目录扫描的作用
2.常见的目录信息泄露
9、操作系统
在信息收集中,需要收集的信息:目标主机的DNS信息、目标IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、邮箱、人员、地址、等。
whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、联系邮箱、联系电话、更新时间、创建时间、过期时间、域名服务器、DNS等等),不同域名后缀的Whois信息需要到不同的Whois数据库查询。
站长之家(可进行域名反查)
百度智能云(能收集到站点企业信息)
在线子域名查询
子域名查询工具 Layer子域名挖掘机
域名解析:
FOFA搜索子域名(网络空间搜索引擎)
FOFA语法
title="beijing" 从标题中搜索“北京”
header="elastic" 从http头中搜索“elastic”
body="网络空间测绘" 从html正文中搜索“网络空间测绘”
fid="sSXXGNUO2FefBTcCLIT/2Q==" 查找相同的网站指纹
domain="qq.com" 搜索根域名带有qq.com的网站。
icp="京ICP证030173号" 查找备案号为“京ICP证030173号”的网站
js_name="js/jquery.js" 查找网站正文中包含js/jquery.js的资产
js_md5="82ac3f14327a8b7ba49baa208d4eaa15" 查找js源码与之匹配的资产
cname="ap21.inst.siteforce.com" 查找cname为"ap21.inst.siteforce.com"的网站
cname_domain="siteforce.com" 查找cname包含“siteforce.com”的网站
cloud_name="Aliyundun"new 通过云服务名称搜索资产
icon_hash="-247388890" 搜索使用此 icon 的资产
host=".gov.cn" 从url中搜索”.gov.cn”
port="6379" 查找对应“6379”端口的资产
ip="1.1.1.1" 从ip中搜索包含“1.1.1.1”的网站
ip="220.181.111.1/24" 查询IP为“220.181.111.1”的C网段资产
status_code="402" 查询服务器状态为“402”的资产 查询网站类型数据
protocol="quic" 查询quic协议资产 搜索指定协议类型(在开启端口扫描的情况下有效)
country="CN" 搜索指定国家(编码)的资产。
region="Xinjiang" 搜索指定行政区的资产。
city="Ürümqi" 搜索指定城市的资产。
cert="baidu" 搜索证书(https或者imaps等)中带有baidu的资产。
cert.subject="Oracle Corporation" 搜索证书持有者是Oracle Corporation的资产
cert.issuer="DigiCert" 搜索证书颁发者为DigiCert Inc的资产
cert.is_valid=true 验证证书是否有效,true有效,false无效 仅限FOFA高级会员使用
jarm="2ad...83e81" 搜索JARM指纹
banner="users" && protocol="ftp" 搜索FTP协议中带有users文本的资产。
type="service" 搜索所有协议资产,支持subdomain和service两种 搜索所有协议资产
os="centos"= 搜索CentOS资产。
server=="Microsoft-IIS/10" 搜索IIS 10服务器。
app="Microsoft-Exchange" 搜索Microsoft-Exchange设备
after="2017" && before="2017-10-01" 时间范围段搜索
asn="19551" 搜索指定asn的资产。
org="LLC Baxet" 搜索指定org(组织)的资产。
base_protocol="udp" 搜索指定udp协议的资产。
is_fraud=falsenew 排除仿冒/欺诈数据
is_honeypot=false 排除蜜罐数据 仅限FOFA高级会员使用
is_ipv6=true 搜索ipv6的资产 搜索ipv6的资产,只接受true和false。
is_domain=true 搜索域名的资产 搜索域名的资产,只接受true和false。
is_cloud=truenew 筛选使用了云服务的资产
port_size="6" 查询开放端口数量等于"6"的资产 仅限FOFA会员使用
port_size_gt="6" 查询开放端口数量大于"6"的资产 仅限FOFA会员使用
port_size_lt="12" 查询开放端口数量小于"12"的资产 仅限FOFA会员使用
ip_ports="80,161" 搜索同时开放80和161端口的ip 搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
ip_country="CN" 搜索中国的ip资产(以ip为单位的资产数据)。 搜索中国的ip资产
ip_region="Zhejiang" 搜索指定行政区的ip资产(以ip为单位的资产数据)。 搜索指定行政区的资产
ip_city="Hangzhou" 搜索指定城市的ip资产(以ip为单位的资产数据)。 搜索指定城市的资产
ip_after="2021-03-18" 搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。 搜索2021-03-18以后的ip资产
ip_before="2019-09-09" 搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。搜索2019-09-09以前的ip资产
参考网址
intext: 寻找正文中含有关键字的网页,例如:intext:后台登陆 将只返回正文中包含后台登陆的wang网页。
intitle: 寻找标题中含有关键字的网页,例如:intitle:后台登陆 密码 将返回标题中包含黑客而正文中包含中国的网页。
allintitle: 用法和intitle类似,只不过可以指定多个词,例如:alltitle:后台登陆 管理员 将返回标题中包含后台登陆和管理员的网页。
cache: 网页快照,谷歌将返回给你他存储下来的历史页面,如果你同时制定了其他查询词,将在搜索结果里以高亮显示,例如:cache:www.hackingspirits.com guest ,将返回指定网站的缓存,并且正文中含有guest
inurl: 将返回url中含有关键词的网页,例如:inurl:Login 将返回url中含有Login的网页。
inininurl://admin/login.php 查找管理员登陆页面
nurl:/phpmyadmin/index.php 查找后台数据库管理页面
allinurl 用法和inurl类似,只不过可以指定多个词,例如:inrul:Login admin 将返回url中含有Login和admin的网页。
site 指定访问的站点,例如:site:baidu.com inurl:Login 将只在baidu.com中查找url中含有Login的网页。
filetype 指定访问的文件类型,例如:site:baidu.com filetype:pdf 将只fan返回baidu.com站点上文件类型为pdf的网页。
link 指定链接的网页,例如:link:www.baidu.com 将返回所有包含指向www.baidu.com的网页。
info 返回站点的指定信息,例如:info:www.baidu.com 将返回百度的一些信息。
related: 相似类型的网页,例如:related:www.xjtu.edu.cn 将返回与 www.xjtu.edu.cn 相似的页面,相似指的是网页的布局相似
查找网站后台:
site:xxx.com intext:管理
site:xxx.com inurl:login
site:xxx.com intitle:后台
查看服务器使用的程序:
site:xxx.com filetype:asp
site:xxx.com filetype:php
site:xxx.com filetype:jsp
site:xxx.com filetype:aspx
查看上传漏洞:
site:xxx.com inurl:file
site:xxx.com inurl:load
A.什么是端口
在网络技术概念中,端口(Port)大致有两种意思:
一是物理意义上的端口,比如,ADSLModem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。
二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。
B.为什么要收集端口
端口信息收集可以帮助我们找到更多目标网站的功能点,更全面地对目标网站进行测试。 nmap: 在线端口扫描工具:
C常见的端口和利用
1、远程管理端口
22 端口(SSH)
安全攻击:弱口令、暴力猜解、用户名枚举
利用方式:
1、通过用户名枚举可以判断某个用户名是否存在于目标主机中
2、利用弱口令/暴力破解,获取目标主机权限。
23 端口(Telnet)
安全漏洞:弱口令、明文传输
利用方式:1、通过弱口令或暴力破解,获取目标主机权限。 2、嗅探抓取telnet明文账户密码。
3389 端口(RDP)
安全漏洞:暴力破解
利用方式:通过弱口令或暴力破解,获取目标主机权限。
5632 端口(Pcanywhere)
安全漏洞:弱口令、暴力破解
利用方式:通过弱口令或暴力破解,获取目标主机权限
5900 端口(VNC)
安全漏洞:弱口令、暴力破解
利用方式:通过弱口令或暴力破解,获取目标主机权限。
2、Web中间件/服务端口
1090/1099 端口(RMI)
安全漏洞:JAVA RMI 反序列化远程命令执行漏洞
利用方式:使用nmap检测端口信息。
端口信息:1099/1090 Java-rmi Java RMI Registry**检测工具:attackRMI.jar
7001 端口(Weblogic)
安全漏洞:弱口令、SSRF、反序列化漏洞
利用方式:
1、控制台弱口令上传war木马 2、SSRF内网探测 3、反序列化远程代码执行等
8000 端口(jdwp)
安全漏洞:JDWP 远程命令执行漏洞
端口信息:8000 jdwp java Debug Wire Protocol
检测工具:https://github.com/IOActive/jdwp-shellifier
8080 端口(Tomcat)
安全漏洞:弱口令、示例目录
利用方式:通过弱口令登录控制台,上传war包。
8080 端口(Jboss)
安全漏洞:未授权访问、反序列化。
利用方式:1、未授权访问控制台,远程部署木马s 2、反序列化导致远程命令执行等。
检测工具:https://github.com/joaomatosf/jexboss
8080 端口(Resin)
安全漏洞:目录遍历、远程文件读取
利用方式:通过目录遍历/远程文件读取获取敏感信息,为进一步攻击提供必要的信息。**任意文件读取POC: payload1 = "/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd" payload2 = "/resin-doc/examples/jndi-appconfig/test?inputFile=//etc/passwd"**payload3 = "/ ..\\web-inf"
8080 端口(Jetty)
安全漏洞:远程共享缓冲区泄漏
利用方式:攻击者可以通过精心构造headers值来触发异常并偏移到共享缓冲区,其中包含了之前其他用户提交的请 求,服务器会根据攻击者的payload返回特定位置的数据。
检测工具:https://github.com/GDSSecurity/Jetleak-Testing-script
8080 端口(GlassFish)
安全漏洞:弱口令、任意文件读取
利用方式:
1、弱口令admin/admin,直接部署shell 2、任意文件读取获取服务器敏感配置信息
8080 端口(Jenkins)
安全漏洞:未授权访问 、远程代码执行
利用方式:访问如下url,可以执行脚本命令,反弹shell,写入webshell等。 http://<target>:8080/manage http://<target>:8080/script
8161 端口(ActiveMQ)
安全漏洞:弱口令、任意文件写入、反序列化
利用方式:默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。
9043 端口(webSphere)
安全漏洞:控制台弱口令、远程代码执行
后台地址:https://:9043/ibm/console/logon.jsp
50000 端口 (SAP)
安全漏洞:远程代码执行
利用方式:攻击者通过构造url请求,实现远程代码执行。
POC:http://<target>:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet? param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=cmd.exe /c ipconfig /all
50070 端口(hadoop)
关系型数据库 mysql 3306 sqlserver 1433 oracle 1521 psotgresql 5432 非关系型数据库 MongoDB 27017 python Redis 6379 memcached 11211 组合类型asp + access/mssql 组合类型php + mysql 组合类型aspx+mssql 组合类型jsp +mysql/oracle 组合类型Python + MongoDB
1.C段:
C段是和目标服务器ip处在同一个C段的其它服务器
2.旁站:
旁站是和目标网站在同一台服务器但开放在其他端口的网站。同服务器说明同ip,所以只要找ip相同的网站就好了。它们不一定是同一家公司这样的。 旁站和子域名的区别:旁站不一定是同一家公司的网站,子域名是同一家公司下的网站
3. 旁站与c段收集方式
1.站长之家
2.
4.利用方式
如果一台服务器通过其上的一个网站拿不下,可以从旁站入手,即同一服务器上的其他网站,最终也可拿下这台服务器。 很多系统并没有绑定域名,通过子域名能够获得的资产是有限的,这时候若想找到更多资产,可从C段入手。
1.什么是指纹(CMS)
CMS:快速搭建网站的内容管理系统,系统模板
Web应用框架:快速二次开发的Web应用框架,例如网站,小程序
2.指纹识别的方式
线探测cms指纹站点:http://whatweb.bugscaner.com/look/ 云溪在线指纹识别: https://www.yunsee.cn
Whatweb: http://www.whatweb.net
潮汐指纹: http://finger.tidesec.net
插件: wappalyzer https://www.wappalyzer.com 非常好用,可以直接插件搜索
脚本: CMSeek https://github.com/Tuhinshubhra/CMSeek
Webfinger https://github.com/se55i0n/Webfinger
icp备案查询
1.目录扫描的作用
探测网站的结构,可以扫到敏感文件、后台文件、数据库文件、和泄露信息的文件
2.常见的目录信息泄露
A.目录遍历漏洞:(前端数据包传输的时候没有验证可能会出现)
原理:程序在实现上没有充分过滤用户输入的https://blog.csdn.net/Forget_liu/article/之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件
B.敏感信息泄露:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到
1.通过访问url可以直接
2.输入错误的url参数后,错误信息中可能有操作系统中间件等信息
C.前端的源码里面包含敏感信息
补充
有未授权漏洞,不需要权限就可以访问 有目录穿越,baidu.com/index.php?file=/home/login=>/index.php?file=https://blog.csdn.net/Forget_liu//etc/passwd
1.服务器类型 windows Window路径不区分大小写 Linux Linux路径区分大写
以上就是本篇文章【网络安全入门—信息收集(完整版)】的全部内容了,欢迎阅览 ! 文章地址:http://xiaoguoguo.dbeile.cn/quote/589.html 行业 资讯 企业新闻 行情 企业黄页 同类资讯 网站地图 返回首页 多贝乐移动站 http://xiaoguoguo.dbeile.cn/mobile/ , 查看更多